openID是否足够安全,可以在商业网站中实现
我想要一些反馈 我认为这个标题已经说明了问题,但这是我的观点 例如,如果我有(多个)购物网站,也提供航空里程或类似的东西,与货币价值交换直接相关,-openID是否仍然足够安全,或者该网站是否应该有自己的登录程序,就像银行一样 编辑 如果OpenID可用于初始身份识别,消费者为网站提供的额外个人信息如何与OpenID验证程序相链接。有没有像我从openID获得的永久性令牌一样,与其他个人注册信息一起存储 这种方法是否有用、足够安全,可以实现openID 有什么想法和意见吗openID是否足够安全,可以在商业网站中实现,openid,Openid,我想要一些反馈 我认为这个标题已经说明了问题,但这是我的观点 例如,如果我有(多个)购物网站,也提供航空里程或类似的东西,与货币价值交换直接相关,-openID是否仍然足够安全,或者该网站是否应该有自己的登录程序,就像银行一样 编辑 如果OpenID可用于初始身份识别,消费者为网站提供的额外个人信息如何与OpenID验证程序相链接。有没有像我从openID获得的永久性令牌一样,与其他个人注册信息一起存储 这种方法是否有用、足够安全,可以实现openID 有什么想法和意见吗 谢谢,Richard如
谢谢,Richard如果你需要个人信息,不管你是不是提供者,你都必须向他们索取 除了标识符和用户密码之外,OpenID本身与任何数据都无关。
个人数据由一个扩展管理,比如AX,它不能也不应该被信任来提供真实数据或任何数据 换言之:
- 如果您是提供商,您必须要求提供数据,因为您不会自动从任何地方获得任何信息
- 如果您是消费者,您可能会从OP获得一些数据,但您必须自己验证这些数据(并可能要求提供缺失的数据)。例如,您通常不能相信提供的电子邮件是有效的
这就是说,我无法证明它是安全的,我也不知道有任何作品声称这样做(或其他)。到目前为止,我从未听说协议本身存在漏洞。您的意思是希望推出自己的openID提供商,以便您作为用户能够访问个人信息吗?或者你的意思是那些购物网站应该推出他们自己的openID提供商?推出你自己的openID提供商(并要求人们在你的网站上使用它)会挫败openID的目的。但也许我遗漏了什么。我不得不编辑我的问题,因为我忘记了一些openID的基础知识。所以@Lasse,@Joachim,你说得对,我自己的openID没有用。谢谢你,这几乎是一个完整的答案,但是你是否认为在我最初的(编辑过的)问题中,这是一个有用的实现,如果不是其他的,那么就避免使用另一个登录/密码创建。我想这是额外的,因为不是每个人都有openID提供者。消费者最常用的方法是允许正常的注册/登录,以及可选的openID身份验证。这允许用户选择他们想要使用的方法。您已经询问了如何存储数据——正如您所注意到的,OpenID只处理身份验证。一旦您确认身份属于用户,它与标准身份验证没有什么不同。您将数据与用户的登录名和密码一起存储,并且使用openid login==identity,密码为null。它是否安全与openid无关,而是与您的实现有关。